Phishing (n?tfiske)

Varf?r oss?

L?r dig vad phishing inneb?r, ?ven k?nt som n?tfiske p? svenska. Vi g?r igenom den fullst?ndiga definitionen, hur det fungerar och k?nda exempel att h?lla ett vakande ?ga p?.

Inneh?llsf?rteckning Inneh?llsf?rteckning

Vad ?r phishing (n?tfiske)?

Phishing ?r en typ av cyberattack d?r en hotakt?r “fiskar” efter potentiella offer genom att utge sig f?r att vara en p?litlig enhet. M?let ?r att lura potentiella offer att avsl?ja k?nslig information, ?verf?ra pengar eller utf?ra n?gon annan ?tg?rd som gynnar angriparen.

Phishing-bedr?gerier kan genomf?ras via textmeddelanden, kommentarer i inl?gg p? sociala medier eller telefonsamtal – men e-post ?r fortfarande det mest kostnadseffektiva s?ttet f?r angripare att rikta in sig p? potentiella offer med minimal anstr?ngning. Enligt United States Cybersecurity and Infrastructure Security Agency (CISA) inleds 90% av alla cyberattacker med n?tfiske via e-post.

Illustration av ett n?tfiskeangrepp brevid beskrivning av vad n?tfiske ?r.

Viktiga slutsatser om phishing

  • Phishing ?r ett cybers?kerhetsbedr?geri som ?r olagligt i de flesta l?nder med etablerade lagar mot cyberbrott.
  • Det handlar om bedr?glig elektronisk kommunikation som ?r utformad f?r att lura offret att g?ra n?got som gynnar angriparen.
  • De flesta phishing-attacker sker via e-post.
  • Phishing-mejl ?r utformade f?r att se ut som om de kommer fr?n en p?litlig k?lla.
  • Artificiell intelligens g?r det l?ttare f?r phishers att rikta in sig p? offer i stor skala.

Historien bakom phishing

Den engelska termen “phishing” tros ha myntats i slutet av 1990-talet av en ?k?nd spammare och hackare som gick under AOHell Usenet-handtaget Khan C. Smith. Ordvalet var t?nkt att f?rmedla tanken att om angriparen anv?nde r?tt bete och kastade ett tillr?ckligt brett n?t, skulle de s?kert f?nga ?tminstone en fisk (offer).

Tidiga phishare kr?vde tekniska f?rdigheter f?r att genomf?ra en attack. Idag kan brottslingar k?pa phishing-kit p? dark web eller samarbeta med Phishing-as-a-Service-partners (PhaaS) som hanterar den tekniska sidan av phishing i utbyte mot en avgift eller en del av vinsten.

Hur phishing fungerar: Indikatorer f?r phishing-attacker

Kriminella som genomf?r phishing-kampanjer utger sig vanligtvis f?r att vara legitima organisationer eller p?litliga enheter och g?r f?rfr?gningar som g?r det m?jligt f?r angriparen att snappa upp k?nslig information, dra nytta av en finansiell transaktion eller f? tillg?ng till ett n?tverk.

De st?rsta varningssignalerna som tyder p? att ett o?nskat e-postmeddelande eller sms ?r en del av en n?tfiskeattack ?r att den br?dskande kommunikationen ?r o?nskad, att inneh?llet i meddelandet ber dig att klicka p? en l?nk och att avs?ndarens e-postadress ser n?got legitim ut men n?got felaktig.

H?r ?r ett exempel p? ett phishing-meddelande.

Dator med ett exempel p? ett phishingmejl som uppmanar anv?ndaren att ?terst?lla sitt l?senord f?r Microsoft.

H?r ?r n?gra exempel p? phishing-textmeddelanden.

Illustration av en mobilsk?rm som visar exempel p? phishing-sms.

Olika typer av phishing-attacker

Illustration som visar 9 olika typer av phishing.

Phishing-attacker kan enkelt anpassas f?r att uppfylla behoven f?r olika typer av angreppsm?l. Phishers kan antingen kasta ett brett n?t i hopp om att f?nga n?gra f? offer – eller ett smalt n?t som ?r utformat f?r att f?nga ett specifikt offer. Det ?r denna m?ngsidighet som ?r s? tilltalande f?r brottslingar och s? frustrerande f?r brottsbek?mpande myndigheter.

Typer av phishing-attacker inkluderar:

Phishing via e-post

Detta ?r den vanligaste typen av n?tfiskeattack. Angriparen skickar ett e-postmeddelande som ser ut att komma fr?n en legitim k?lla, till exempel en bank, ett kreditkortsf?retag eller en myndighet. E-postmeddelandet inneh?ller ofta en l?nk som, n?r man klickar p? den, tar offret till en falsk webbplats som ser ut som den riktiga webbplatsen. N?r offret har angett sina inloggningsuppgifter eller annan k?nslig information p? den falska webbplatsen kan bedragarna stj?la den.

Chattbottar som anv?nder generativ AI har gjort det enklare ?n n?gonsin f?r phishers att skapa e-postmeddelanden som ser ut att komma fr?n en legitim k?lla.

Smishing

Denna typ av n?tfiske anv?nder SMS f?r att kommunicera med offret. Textmeddelandena inneh?ller ofta en l?nk som, n?r man klickar p? den, tar offret till en falsk webbplats eller ber offret att l?mna k?nslig information.

Vishing

Denna typ av n?tfiske utf?rs via telefon. Angriparen anv?nder sin egen r?st, eller en AI-genererad r?st, f?r att utge sig f?r att vara en representant f?r ett legitimt f?retag eller en legitim organisation.

Spear phishing

Detta ?r en mer riktad typ av phishing-attack d?r angriparen utformar en kommunikation som ?r s?rskilt anpassad till offret. Till exempel kan angriparens e-postmeddelande handla om ett ?mne som offret tidigare har visat intresse f?r eftersom det ?r relevant f?r deras arbete.

N?r artificiell intelligens (AI) och maskininl?rning (ML) anv?nds f?r personalisering ?r det mer sannolikt att e-postmeddelandet ?ppnas och att offret g?r p? bluffen.

Whale (val) phishing

Denna typ av spear phishing-attack f?rs?ker utnyttja en “mycket stor fisk”, till exempel ett stort f?retags Chief Financial Officer (CFO) eller n?gon annan chef p? C-niv?.

Crypto phishing

Denna typ av bedr?geri riktar sig mot investerare och handlare av kryptovalutor. Bedragarna skickar e-postmeddelanden eller meddelanden som ser ut att komma fr?n en legitim k?lla, till exempel en kryptovalutab?rs eller pl?nboksleverant?r.

Mejlen eller meddelandena inneh?ller ofta en l?nk som, n?r man klickar p? den, tar offret till en falsk webbplats som ser ut som den riktiga webbplatsen. N?r offret anger sina inloggningsuppgifter eller annan k?nslig information p? den falska webbplatsen kan bedragarna stj?la informationen.

Angler phishing

Denna typ av phishing-attack anv?nder popul?ra sociala medier som Facebook och TikTok som attackvektor. Angriparen skapar falska konton p? sociala medier f?r att interagera med riktiga anv?ndare p? sociala medieplattformar och vinna deras f?rtroende.

S? sm?ningom kommer angriparen att skicka ett direktmeddelande (DM) eller l?gga upp n?got p? webbplatsen som inneh?ller en l?nk till en phishing-webbplats.

Malvertisements

Denna typ av phishing-attack placerar skadliga annonser p? legitima webbplatser. N?r offren klickar p? annonserna kommer de till en falsk webbplats som infekterar dem med skadlig kod.

Watering Hole (Vattenh?l) attacker

Denna typ av n?tfiskebedr?geri riktar sig mot webbplatser som yrkesverksamma inom en viss bransch eller ett visst marknadssegment sannolikt kommer att bes?ka.

Mest utsatta branscher f?r phishing-attacker

F?r n?rvarande ?r de branscher som ?r mest utsatta f?r n?tfiskeattacker f?ljande:

  • Plattformar f?r sociala medier
  • Finansiella institutioner
  • Teknikf?retag
  • V?rdgivare
  • Myndighetsorgan
  • Utbildningsinstitutioner
  • Online-?terf?rs?ljare

Exempel p? phishing

H?r ?r fyra anm?rkningsv?rda exempel p? lyckade phishing-attacker:

RSA Security (2011)Target (2013)Facebook och Google phishing-bedr?geri (2017)Twitter Bitcoin-bedr?geri (2020)

Angripare skickade ett e-postmeddelande med ?mnesraden “2011 Recruitment Plan” till en liten grupp RSA-anst?llda. E-postmeddelandet inneh?ll en skadlig Excel-fil som n?r den ?ppnades gjorde det m?jligt f?r angripare att f? tillg?ng till s?kerhetsf?retagets n?tverk.

Angripare anv?nde phishing-e-postmeddelanden f?r att kompromissa med en tredjepartsleverant?r, vilket sedan gjorde det m?jligt f?r angriparna att komma ?t detaljhandelsbutikens n?tverk och installera skadlig kod. Attacken resulterade i st?ld av kreditkortsinformation fr?n miljontals Target-kunder och startade en rad uppf?ljande spear phishing-attacker riktade direkt till kunder som kan ha f?tt sin information stulen.

En litauisk man erk?nde sig skyldig till att ha iscensatt ett sofistikerat n?tfiskeprogram som lurade Facebook och Google p? ?ver 100 miljoner dollar. Han utgav sig f?r att vara en legitim leverant?r och beg?rde att betalning f?r utf?rda tj?nster skulle skickas till bedr?gliga bankkonton.

Phishers anv?nde komprometterade h?gprofilerade konton f?r att locka offer till falska Bitcoin giveaway-bedr?gerier. N?r utnyttjandet stoppades hade bedragarna lyckats h?va in ?ver 100 000 dollar i Bitcoin.

Psykologiska strategier som anv?nds vid phishing

Vid phishing anv?nds strategier som bygger p? social ingenj?rskonst och som syftar till att utnyttja m?nniskors k?nslor och sociala v?rderingar. ?ven om teknisk taktik ?r en kritisk komponent ?r psykologisk manipulation ofta den prim?ra faktorn som avg?r om en attack lyckas.

Popul?ra strategier ?r att dra nytta av m?nniskors f?rtroende f?r auktoriteter, deras ?nskan att vara hj?lpsamma och deras r?dsla f?r att missa n?got (FOMO).

Tekniska tekniker som anv?nds vid phishing

Tekniska taktiker som vanligen anv?nds i n?tfiskeattacker inkluderar:

E-postspoofing

Angriparen manipulerar e-postens rubriker s? att de ser ut att komma fr?n en betrodd k?lla. Spoofing av e-post underl?ttas av svagheter i standardprotokollet f?r att skicka e-post, Simple Mail Transfer Protocol (SMTP). SMTP kr?ver inte att e-postavs?ndare kontrollerar att den “fr?n”-adress de anger ?r korrekt, vilket g?r det relativt enkelt f?r angripare att f?rfalska denna information.

Sk?rdande av referenser

Angriparen skapar falska inloggningssidor f?r popul?ra tj?nster f?r att f?nga anv?ndarnamn, l?senord och andra referenser.

Manipulation av l?nkar

Angriparen anv?nder falska l?nkar i e-postmeddelanden f?r att dirigera offren till skadliga webbplatser. Angripare b?ddar ofta in falska webbadresser med legitima underdom?ner f?r att kringg? URL-filter.

Skadliga omdirigeringar

Angriparen anv?nder dolda iframes eller JavaScript f?r att omdirigera offren fr?n legitima webbplatser till phishing-sidor.

Dom?nspoofing

Angriparen k?per dom?nnamn som ser ut att vara legitima eftersom de ?r mycket lika legitima och v?lk?nda dom?nnamn.

Man-in-the-Middle-attacker (MitM)

Angriparen avlyssnar kommunikationen mellan offret och en legitim webbplats f?r att komma ?ver k?nsliga uppgifter.

Kapning av session

Angriparen stj?l aktiva sessionscookies eller tokens f?r att utge sig f?r att vara en anv?ndare och f? obeh?rig ?tkomst till dennes konton.

Imitation av varum?rke

Angriparen beg?r k?nslig information fr?n offret genom att utnyttja det f?rtroende som de har f?r ett visst varum?rke.

Phishing och AI

Artificiell intelligens (AI) g?r det l?ttare f?r brottslingar att skapa realistiskt phishing-inneh?ll som ?r sv?rare f?r m?nniskor eller anti-phishing-tj?nster att uppt?cka. Angripare anv?nder stora spr?kmodeller (LLM) och generativa AI-meddelanden f?r att:

  • Automatisera spear phishing i stor skala.
  • Utf?r A/B-testning f?r att optimera e-postinneh?llet.
  • Publicera realistiska webbsidor f?r n?tfiske.
  • Skapa chattbottar som g?r det m?jligt f?r angriparen att interagera med potentiella offer innan en attack inleds.

10 s?tt att f?rhindra phishing-attacker

F?r att minska riskerna med phishing m?ste individer och organisationer prioritera utbildning i phishing, implementera robust e-postfiltrering, ?verv?ga att anv?nda molntj?nster mot phishing och f?lja b?sta praxis f?r s?kerhet p? n?tet.

Lista med 10 tips f?r att skydda sig mot phishing.

F?ljande s?kerhets?tg?rder rekommenderas f?r att f?rhindra att phishing-attacker lyckas:

  1. H?ll muspekaren ?ver l?nkar f?r att f?rhandsgranska webbadresser innan du klickar.
  2. ?ppna aldrig bifogade filer i o?nskade e-postmeddelanden.
  3. Klicka inte p? l?nkar i o?nskade e-postmeddelanden eller textmeddelanden.
  4. Om du f?r en ov?ntad beg?ran om personlig eller finansiell information ska du kontakta avs?ndaren direkt.
  5. Aktivera tv?faktorsautentisering (2FA) f?r alla onlinekonton.
  6. Anv?nd starka l?senord och antivirusprogram.
  7. Svara inte p? mobilsamtal fr?n ok?nda nummer.
  8. Till?t alltid uppdateringar av webbl?sare, operativsystem och mjukvaruapplikationer.
  9. Undvik att anv?nda publika n?tverk.
  10. Rapportera misst?nkta bedr?gerier.

Programvara mot phishing

Anti-phishing-programvara kan hj?lpa till att skydda individer och organisationer fr?n phishing-attacker. Denna typ av programvara levereras ofta tillsammans med antivirusprogram. Viktiga egenskaper och funktioner inkluderar:

  • Autentisering av e-postavs?ndare
  • Analys av l?nkar
  • Skanning av bifogade filer
  • Heuristisk filtrering
  • Svarta/vita listor ?ver avs?ndare
  • Till?gg f?r webbl?sare mot n?tfiske
  • Funktioner som g?r det enklare att rapportera phishing-meddelanden

Slutsatsen om phishing

Phishing (n?tfiske) kr?ver per definition att angriparen kastar ut ett brett n?t i hopp om att f?nga n?gra intet ont anande offer. F?r att skydda sig mot phishing-attacker ?r det viktigt att k?nna till den taktik som brottslingar anv?nder i denna typ av attack. Vanliga inslag i phishing-meddelanden ?r ov?ntade f?rfr?gningar om k?nslig information och br?dskande uppmaningar till handling.

Vanliga fr?gor om phishing

Vad ?r phishing med enkla ord?

Vad ?r ett exempel p? n?tfiske?

Vad ?r den detaljerade definitionen av phishing?

Vilka ?r de fyra typerna av phishing?

Varf?r ?r phishing-attacker s? effektiva?

Referenser

  1. 4 Things You Can Do To Keep Yourself Cyber Safe (Cisa)
  2. Avoid and report phishing emails – Gmail Help (Support.google)
  3. Angler Phishing: What is it? (Clearviewfcu)
  4. The RSA Hack: How They Did It – The New York Times (Archive.nytimes)
  5. The Target Breach 10 Years Later (Securityinfowatch)
  6. New Email Scam Related to Target Data Breach (Blog.memcu)
  7. Lithuanian pleads guilty in U.S. to massive fraud against Google, Facebook (Reuters)
  8. Twitter Investigation Report | Department of Financial Services (Dfs.ny)
  9. Report a Phishing Page (Safebrowsing.google)
  10. On the Internet: Be Cautious When Connected (Fbi)
  11. Bird (formerly MessageBird) Guides | Introduction To Email Authentication (Bird)
  12. Don’t Be A Phishing Victim : Know Your Anti-Phishing Chrome Extension (Phishprotection)

Relaterade termer

Margaret Rouse
Technology expert
Margaret Rouse
Teknikexpert

Margaret Rouse ?r en prisbel?nt teknisk skribent och l?rare som ?r k?nd f?r sin f?rm?ga att f?rklara komplexa tekniska ?mnen f?r en icke-teknisk aff?rspublik. Under de senaste tjugo ?ren har hennes f?rklaringar publicerats p? TechTargets webbplatser och hon har citerats som en auktoritet i artiklar av New York Times, Time Magazine, USA Today, ZDNet, PC Magazine och Discovery Magazine.Margarets idé om en rolig dag ?r att hj?lpa IT- och aff?rsproffs att l?ra sig tala varandras h?gt specialiserade spr?k. Om du har ett f?rslag p? en ny definition eller hur man kan f?rb?ttra en teknisk f?rklaring, v?nligen maila Margaret eller kontakta…

 ',a='';if(l){t=t.replace('data-lazy-','');t=t.replace('loading="lazy"','');t=t.replace(/